Jak wykrywać i badać nieaktywne konta użytkowników

  • Artykuł

W dużych środowiskach konta użytkowników nie zawsze są usuwane, gdy pracownicy opuszczają organizację. Jako administrator IT chcesz wykryć i rozwiązać te przestarzałe konta użytkowników, ponieważ stanowią one zagrożenie bezpieczeństwa.

W tym artykule wyjaśniono metodę obsługi przestarzałych kont użytkowników w identyfikatorze Entra firmy Microsoft.

Uwaga

Ten artykuł dotyczy tylko znajdowania nieaktywnych kont użytkowników w identyfikatorze Entra firmy Microsoft. Nie dotyczy znajdowania nieaktywnych kont w usłudze Azure AD B2C.

Wymagania wstępne

Aby uzyskać dostęp do lastSignInDateTime właściwości przy użyciu programu Microsoft Graph:

  • Potrzebna jest licencja microsoft Entra ID P1 lub P2.

  • Musisz przyznać aplikacji następujące uprawnienia programu Microsoft Graph:

    • AuditLog.Read.All
    • User.Read.All

Co to są nieaktywne konta użytkowników?

Nieaktywne konta to konta użytkowników, które nie są już wymagane przez członków organizacji w celu uzyskania dostępu do zasobów. Jednym z identyfikatorów kluczy dla nieaktywnych kont jest to, że nie były one używane przez jakiś czas do logowania się do środowiska. Ponieważ nieaktywne konta są powiązane z działaniem logowania, możesz użyć znacznika czasu ostatniego próby zalogowania się konta w celu wykrycia nieaktywnych kont.

Wyzwaniem tej metody jest zdefiniowanie tego, co przez jakiś czas oznacza dla danego środowiska. Na przykład użytkownicy mogą nie zalogować się do środowiska na chwilę, ponieważ są na wakacjach. Podczas definiowania różnicy dla nieaktywnych kont użytkowników należy uwzględnić wszystkie uzasadnione powody, aby nie logować się do środowiska. W wielu organizacjach różnica dla nieaktywnych kont użytkowników wynosi od 90 do 180 dni.

Ostatnie logowanie zapewnia potencjalny wgląd w ciągłą potrzebę dostępu użytkownika do zasobów. Może to pomóc w ustaleniu, czy członkostwo w grupie lub dostęp do aplikacji jest nadal potrzebne lub może zostać usunięte. W przypadku zarządzania użytkownikami zewnętrznymi można zrozumieć, czy użytkownik zewnętrzny jest nadal aktywny w dzierżawie lub powinien zostać wyczyszczony.

Wykrywanie nieaktywnych kont użytkowników za pomocą programu Microsoft Graph

Konta nieaktywne można wykryć, oceniając kilka właściwości, z których niektóre są dostępne w beta punkcie końcowym interfejsu API programu Microsoft Graph. Nie zalecamy używania beta punktów końcowych w środowisku produkcyjnym, ale zachęcamy do wypróbowania ich.

Właściwość lastSignInDateTime uwidoczniona przez signInActivity typ zasobu interfejsu API programu Microsoft Graph. Właściwość lastSignInDateTime pokazuje, kiedy ostatni raz użytkownik próbował wykonać interaktywną próbę logowania w identyfikatorze Entra firmy Microsoft. Korzystając z tej właściwości, można zaimplementować rozwiązanie dla następujących scenariuszy:

  • Data i godzina ostatniego logowania dla wszystkich użytkowników: w tym scenariuszu należy wygenerować raport daty ostatniego logowania wszystkich użytkowników. Żądasz listy wszystkich użytkowników i ostatniego elementuSignInDateTime dla każdego odpowiedniego użytkownika:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

  • Użytkownicy według nazwy: W tym scenariuszu wyszukujesz określonego użytkownika według nazwy, co umożliwia ocenę lastSignInDateTime:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity

  • Użytkownicy według daty: W tym scenariuszu żądasz listy użytkowników z lastSignInDateTime przed określoną datą:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

  • Data i godzina ostatniego pomyślnego logowania (beta): ten scenariusz jest dostępny tylko w beta punkcie końcowym interfejsu API programu Microsoft Graph. Możesz zażądać listy użytkowników z określoną datą lastSuccessfulSignInDateTime :

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Uwaga

Właściwość obsługuje (, , , notge, le), ale nie z żadnymi innymi właściwościami, które można filtrować. neeq$filtersignInActivity Musisz określić $select=signInActivity lub $filter=signInActivity podczas wyświetlania listy użytkowników, ponieważ właściwość signInActivity nie jest domyślnie zwracana.

Zagadnienia dotyczące właściwości lastSignInDateTime

Poniższe szczegóły odnoszą się do lastSignInDateTime właściwości .

  • Właściwość lastSignInDateTime jest uwidaczniona przez typ zasobu signInActivity interfejsu API programu Microsoft Graph.

  • Właściwość nie jest dostępna za pomocą polecenia cmdlet Get-MgAuditLogDirectoryAudit.

  • Każda interaktywna próba logowania powoduje aktualizację bazowego magazynu danych. Zazwyczaj logowania są wyświetlane w powiązanym raporcie logowania w ciągu 6 godzin.

  • Aby wygenerować znacznik czasu lastSignInDateTime, należy spróbować zalogować się. Próba logowania nie powiodła się lub zakończyła się powodzeniem, o ile jest rejestrowana w dziennikach logowania firmy Microsoft Entra, generuje znacznik czasu lastSignInDateTime. Wartość właściwości lastSignInDateTime może być pusta, jeśli:

    • Ostatnia próba logowania użytkownika miała miejsce przed kwietniem 2020 r.
    • Konto użytkownika, którego dotyczy problem, nigdy nie było używane podczas próby logowania.

  • Data ostatniego logowania jest skojarzona z obiektem użytkownika. Wartość jest zachowywana do momentu następnego logowania użytkownika. Aktualizacja może potrwać do 24 godzin.

Jak zbadać pojedynczego użytkownika w centrum administracyjnym firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jeśli chcesz wyświetlić najnowsze działanie logowania dla użytkownika, możesz wyświetlić szczegóły logowania użytkownika w identyfikatorze Entra firmy Microsoft. Możesz również użyć użytkowników programu Microsoft Graph według nazwy scenariusza opisanego w poprzedniej sekcji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz użytkownika z listy.

  4. W obszarze Moje źródło danych w obszarze Przegląd użytkownika znajdź kafelek Logowania.

    Screenshot of the user overview page with the sign-in activity tile highlighted.

Ostatnia data i godzina logowania wyświetlana na tym kafelku może potrwać do 24 godzin, co oznacza, że data i godzina mogą nie być aktualne. Jeśli chcesz zobaczyć działanie niemal w czasie rzeczywistym, wybierz link Zobacz wszystkie logowania na kafelku Logowania , aby wyświetlić wszystkie działania logowania dla tego użytkownika.

Następne kroki